Capture the flag (sicurezza informatica): differenze tra le versioni
fix note |
aggiungo fonti aggiuntive, fix vari, fix note già presenti, wikifico. Etichette: Modifica da mobile Modifica da web per mobile Modifica da mobile avanzata |
||
Riga 2: | Riga 2: | ||
<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO --> |
<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO --> |
||
[[File:DEF_CON_17_CTF_competition.jpg|miniatura| |
[[File:DEF_CON_17_CTF_competition.jpg|miniatura|Una squadra che partecipa alla competizione CTF al DEF CON 17]] |
||
Le '''Capture the Flag''' ('''CTF''') nella [[sicurezza informatica]] sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente [[Vulnerabilità informatica|vulnerabili]]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.<ref>{{Cita web|url=https://ctftime.org/ctf-wtf/|sito=ctftime.org| |
Le '''Capture the Flag''' (spesso abbreviata in '''CTF'''<ref>{{Cita web|url=https://cybexer.com/resource-center/capture-the-flag-exercise-explained/|titolo=A Capture-the-Flag (CTF) Exercise Explained|lingua=en|accesso=11 novembre 2023}}</ref><ref>{{Cita web|url=https://www.eccouncil.org/cybersecurity-exchange/cybersecurity-technician/capture-flag-ctf-cybersecurity/|titolo=Why Is Capture the Flag (CTF) Important in Cyber Security?|lingua=en|autore=David Tidmarsh|sito=Eccouncil.org|data=27 settembre 2023|acceso=11 novembre 2023}}</ref>) nella [[sicurezza informatica]] sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente [[Vulnerabilità informatica|vulnerabili]]<ref>{{Cita web|url=https://www.cybersecurity360.it/cultura-cyber/capture-the-flag-cosi-i-team-di-hacking-individuano-le-vulnerabilita-in-software-e-sistemi/|titolo=Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi|sito=Cyber Security 360|autore=Vincenzo Digilio|data=4 maggio 2021|accesso=11 novembre 2023}}</ref>. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.<ref>{{Cita web|url=https://ctftime.org/ctf-wtf/|titolo=What is Capture The Flag?|sito=ctftime.org|lingua=en|accesso=11 novembre 2023}}</ref> Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo [[Rubabandiera|sport all'aria aperta con lo stesso nome]]<ref>{{Cita web|url=https://cybersecurity.att.com/blogs/security-essentials/capture-the-flag-ctf-what-is-it-for-a-newbie|titolo=CTF Hacking: What is Capture the Flag for a Newbie?|lingua=Eric Brown|lingua=en|sito=[[AT&T]] Cybersecurity|data=23 dicembre 2019|accesso=11 novembre 2023}}</ref>. |
||
== Descrizione == |
== Descrizione == |
Versione delle 22:20, 11 nov 2023
Le Capture the Flag (spesso abbreviata in CTF[1][2]) nella sicurezza informatica sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente vulnerabili[3]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.[4] Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo sport all'aria aperta con lo stesso nome[5].
Descrizione
Le Capture the Flag (CTF) sono competizioni di sicurezza informatica organizzate per testare e sviluppare le proprie competenze di sicurezza informatica. Sono nate nel 1996 al DEF CON, la più grande conferenza sulla sicurezza informatica degli Stati Uniti ospitata ogni anno a Las Vegas, Nevada.[6] Le attività della conferenza si svolgono in un solo fine settimana, compresa la CTF. I due formati di CTF più popolari sono le Jeopardy e l'attacco/difesa.[7] Entrambi i formati mettono alla prova le conoscenze dei partecipanti in materia di sicurezza informatica, ciò che cambia è il soggetto d'attacco. Nel formato Jeopardy, i team partecipanti devono completare il maggior numero di sfide (challenge) di varie categorie come crittografia, sicurezza web e reverse engineering.[8] Nel formato attacco-difesa, le squadre partecipanti devono difendere i propri sistemi informatici vulnerabili ed attaccare quelli degli avversari.[7]
Risvolti didattici
Le CTF hanno dimostrato di essere un modo efficace per migliorare le competenze in sicurezza informatica attraverso la gamification .[9] Esistono molti esempi di CTF progettate per insegnare competenze di sicurezza informatica a un'ampia varietà di pubblico, come la PicoCTF, organizzata dal Carnegie Mellon CyLab, rivolta agli studenti delle scuole superiori, e pwn.college, supportata dalla Arizona State University .[10][11][12] Oltre ad essere eventi e metodi d'insegnamento verticali, le CTF hanno dimostrato di essere un modo molto efficace per accellerare l'apprendimento di concetti di sicurezza informatica nei percorsi di studio tradizionali.[13][14] Le CTF sono state incluse nei corsi universitari di informatica nel corso "Introduzione alla sicurezza" presso la University of Southern California .[15] Le CTF sono anche popolari nelle accademie militari. Sono spesso incluse come parte del curriculum per i corsi di sicurezza informatica, come l'esercitazione informatica organizzata dalla NSA che include l'organizzazione di una CTF tra le accademie di servizio degli Stati Uniti e le università militari.[16]
Competizioni
Competizioni delle community
Ogni anno vengono organizzate dozzine di CTF. Molte di queste fanno parte di conferenze sulla sicurezza informatica come DEF CON, HITCON e BSides . La DEF CON CTF, una competizione attacco/difesa, è nota per essere una delle più antiche competizioni, tanto da venire rinominata "World Series",[17] "Superbowl",[12][18] e " Olimpiadi",[19] di hacking dai media statunitensi. La NYU Tandon ha ospitato il Cybersecurity Awareness Worldwide (CSAW) CTF, una delle più grandi competizioni a ingresso libero per studenti appassionati di tutto il mondo.[8]Nel 2021 oltre 1200 squadre hanno preso parte al turno di qualificazione.[20]
Oltre alle CTF organizzate da conferenze, molti club e le stesse squadre organizzano competizioni CTF.[21] Diverse squadre sono associate alle università della propria città, come il team Plaid Parliament of Pwning associato alla CMU, che organizza la PlaidCTF.[8]
Competizioni sostenute dai governi
Tra le competizioni governative troviamo la DARPA Cyber Grand Challenge e l'ENISA European Cybersecurity Challenge. Nel 2023, la competizione Hack-a-Sat CTF sponsorizzata dalla US Space Force includeva un satellite orbitale che i partecipanti potevano violare mentre questo era in orbita.[22]
Competizioni supportate dalle aziende
Aziende e altre organizzazioni possono utilizzare le CTF come per formare o valutare i dipendenti ed i processi aziendali. I vantaggi delle CTF sono simili a quelli dell'utilizzo delle CTF in un ambiente educativo. Oltre agli gare interne, alcune società come Google e Tencent ospitano concorsi CTF aperte anche al pubblico.
Nella cultura popolare
- In Mr. Robot, i video di un turno di qualificazione della DEF CON CTF vengono mostrati nell'intro della stagione 3 "eps3.0_power-saver-mode.h"
- In The Undeclared War, una CTF appare nella scena iniziale della serie mentre viene utilizzata come esercizio di reclutamento dal GCHQ[23]
- Go Go Squid!, è una serie televisiva incentrata sugli allenamenti e le CTF.[24]
Note
- ^ (EN) A Capture-the-Flag (CTF) Exercise Explained, su cybexer.com. URL consultato l'11 novembre 2023.
- ^ (EN) David Tidmarsh, Why Is Capture the Flag (CTF) Important in Cyber Security?, su Eccouncil.org, 27 settembre 2023.
- ^ Vincenzo Digilio, Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi, su Cyber Security 360, 4 maggio 2021. URL consultato l'11 novembre 2023.
- ^ (EN) What is Capture The Flag?, su ctftime.org. URL consultato l'11 novembre 2023.
- ^ (EN) CTF Hacking: What is Capture the Flag for a Newbie?, su AT&T Cybersecurity, 23 dicembre 2019. URL consultato l'11 novembre 2023.
- ^ vol. 1, pp. 120–129 vol.1, DOI:10.1109/DISCEX.2003.1194878, ISBN 0-7695-1897-4.
- ^ a b (EN) meusec.com, https://www.meusec.com/ctf/capture-the-flags-in-cybersecurity/ . URL consultato il 2 novembre 2022.
- ^ a b c
- ^ DOI:10.1007/s10639-022-11451-4, https://oadoi.org/10.1007/s10639-022-11451-4.
- ^ (EN) ASU News, https://news.asu.edu/20210215-asu-cybersecurity-dojo-pwn-college-thwart-cyberattacks . URL consultato il 18 luglio 2023.
- ^ (EN) www.cylab.cmu.edu, https://www.cylab.cmu.edu/news/2023/02/0220-picoctf.html . URL consultato il 18 luglio 2023.
- ^ a b (EN) Pittsburgh Post-Gazette, https://www.post-gazette.com/news/education/2017/04/09/hacking-carnegie-mellon-cmu-pico-ctf-ppp-david-brumley-DefCon-Capture-the-Flag/stories/201704090092 . URL consultato il 18 luglio 2023.
- ^ pp. 5479–5486, DOI:10.1109/HICSS.2016.677, ISBN 978-0-7695-5670-3.
- ^ SIGITE '17, pp. 47–52, DOI:10.1145/3125659.3125686, ISBN 978-1-4503-5100-3.
- ^ pp. 752–758, DOI:10.1145/3328778.3366893, ISBN 9781450367936.
- ^ www.nsa.gov, https://www.nsa.gov/Cybersecurity/NSA-Cyber-Exercise/ . URL consultato il 18 luglio 2023.
- ^ (EN) CNBC, https://www.cnbc.com/2013/11/08/defcon-capture-the-flag-competition-is-only-for-top-hackers.html . URL consultato il 18 luglio 2023.
- ^ (EN) www.cmu.edu, https://www.cmu.edu/news/stories/archives/2022/august/cmu-hacking-team-wins-super-bowl-of-hacking-for-6th-time . URL consultato il 18 luglio 2023.
- ^ (EN) https://www.reuters.com/technology/hacker-tournament-brings-together-worlds-best-las-vegas-2022-08-17/.
- ^ (EN) CSAW, https://www.csaw.io/ctf . URL consultato il 2 novembre 2022.
- ^ Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education, in Education and Information Technologies, 24 febbraio 2023, pp. 1–33, DOI:10.1007/s10639-022-11451-4.
- ^ (EN) www.theregister.com, https://www.theregister.com/2023/06/03/moonlighter_satellite_hacking/ . URL consultato il 18 luglio 2023.
- ^ (EN) ISSN 0261-3077 , https://www.theguardian.com/tv-and-radio/2022/jul/07/some-staff-work-behind-armoured-glass-a-cybersecurity-expert-on-the-undeclared-war.
- ^ https://www.imdb.com/title/tt10369876/.
Voci correlate
Collegamenti esterni
- ctftime.org - un archivio di competizioni CTF passate, in corso e pianificate.